医疗数据泄露汇总：多起事件超出 HIPAA 通知期限

关键要点

• 多起医疗数据泄露事件超出 HIPAA 要求的 60 天通知期限。
• Practice Resources 披露了近 94 万患者的数据被盗事件。
• Onyx 健康的网络攻击导致近 97,000 患者的健康信息被访问。
• Methodist McKinney 医院的数据被 Karakurt 团伙盗取。
• San Diego American Indian Health Center 的 27,000 患者数据在五月的网络袭击中受到影响。
• Lamoille Health Partners 的数据在勒索软件攻击中被盗，涉及超过 59,000 名患者。

近日，Practice Resources 向 942,138名患者通报其数据在四月份的勒索软件攻击中被访问或盗取。这家位于纽约的供应商为多家医疗机构提供账单和专业服务，但其通知并未解释为何延迟通报。根据《健康保险流通与问责法案》，相关实体和商业伙伴必须在发现受保护健康数据泄露后
60 天内通知患者。

Practice Resources 数据泄露

该勒索软件攻击发生在 4 月 12日，迫使供应商保护系统并调查事件。他们发现个人可识别信息和健康数据可能遭到了访问和/或获取。泄露的数据包括姓名、联系方式、治疗日期以及健康计划或医疗记录号码。

所有受影响的患者将获得最多两年的免费信用监控和相关服务。Practice Resources 也增强了现有的网络安全措施，并计划实施额外的保障措施。

iCare 供应商网络攻击

一场对 Onyx 的网络攻击导致 96,814 名患者的健康信息被访问。该公司与独立护理健康计划 (iCare) 合作，帮助患者访问其健康信息。攻击在 6月 28 日首次被发现，直到 7 月 7 日才恢复系统访问。调查发现，一台服务器可能在几个月前的 3 月 29 日已被接触。

受影响的患者数据包括姓名、出生日期、联系方式、iCare 会员和医疗保险 ID 号码、提供者名称和服务日期。所有受影响的患者均提供两年的信用监控服务。

Methodist McKinney 医院数据泄露

在8月初，Methodist McKinney 医院及其附属机构通知了一些患者，提出其数据在 Karakurt 黑客攻击中被盗。该提供商在 7 月 5日首次发现“某些系统上存在异常活动”，并果断采取行动保护网络。调查确认攻击者在 5 月 20 日至 7 月 7 日间对系统的访问。

Karakurt威胁将在通知患者之前泄露数据。医院目前仍在评估影响的系统中存在的具体信息，数据可能包括姓名、社会安全号码（SSNs）、出生日期、联系方式等。

圣地亚哥美洲印第安健康中心数据泄露

圣地亚哥的美国印第安健康中心也于最近通知大约 27,000 名患者，他们的数据在 5 月的网络攻击中被访问和潜在盗取。该供应商在 5 月 5日首次发现“复杂的网络安全攻击”，并已与 FBI 合作。

经过第三方网络安全公司的支持的法证分析发现，黑客从网络中访问并获取了数据。患者信息可能包括姓名、SSNs、驾照、运动或族裔身份证号、医疗数据与健康保险信息等。

Lamoille Health 数据泄露

在 6 月 13 日，对位于佛蒙特州的 Lamoille Health Partners 的数据也遭到了勒索软件攻击，导致 59,381名患者的数据被访问及盗取。恶意软件锁定了该供应商的一些文件，LHP 使用既定协议继续提供护理。

与外部网络安全公司合作的调查确认攻击者可能在系统攻击期间访问或获取了“某些文档”，这些文档中含有社会安全号码、出生日期等个人信息。

Lee County EMS 数据泄露

与 Lee County EMS 有关的个体也被告知，他们的数据在一位前供应商处的安全事件中被泄露。该 EMS 此前与 Intermedix 签订过 15年的账单服务合同。调查发现，2021 年 8 月，Intermedix 的一家法律事务所遭到黑客攻击，导致客户数据被盗取。

尽管数据的具体详情